Que yo sepa, no hay forma de unir un servidor a AD sin que el servidor pueda resolver el dominio AD a través de DNS. Unirse requiere poder obtener varios registros de DNS, incluidos los registros SRV. Por lo tanto, una simple entrada del archivo host no debería funcionar.
Con eso en mente, mi pregunta es: ¿estoy en lo cierto? ¿No hay otra forma de unir un servidor a AD sin acceso a un servidor DNS que aloje los registros de AD?
La razón por la que pregunto es:
Tengo algunos servidores en AWS que necesitan unirse a un dominio de AD dentro de una red corporativa. Tenemos un túnel VPN desde AWS a la red corporativa. Este dominio no se anuncia en un servidor DNS público al que podamos acceder desde AWS. Disponemos de un servidor DNS corporativo interno con los registros adecuados. Ahora, con algunos cambios de red en el lado corporativo, podríamos acceder a este DNS a través de nuestro túnel VPN; sin embargo, en AWS utilizamos el servicio DNS de AWS con una zona delegada para resolver la comunicación de servidor a servidor dentro de AWS y luego se comunica con nuestro servidor DNS público corporativo para cualquier cosa que no pueda resolver. También utilizamos el servidor DNS de AWS para realizar comprobaciones de estado en AWS para activar conmutaciones por error de regiones.
Si apuntáramos nuestros servidores AWS a nuestro DNS corporativo interno a través del túnel VPN, ya no podríamos resolver internamente dentro de AWS.
Solo veo un par de opciones.
Encuentre una manera de unir un servidor a AD sin usar DNS, lo cual no creo que sea posible por las razones que mencioné anteriormente. Pero si alguien sabe lo contrario, que lo diga.
Exponer los registros DNS de AD en nuestro DNS externo (público).
Rediseñar todo nuestro diseño DNS de entornos de nube y corporativos. Esta opción llevará tiempo y tal vez sea la solución a largo plazo. Pero mientras tanto también necesito una solución a corto plazo. Las opciones 1 y 2 son las únicas soluciones a corto plazo que se me ocurren y si la 1 no es posible como creo, entonces solo me queda la opción 2.
Entonces, ¿está de acuerdo en que la opción 1 no es posible y/o tiene alguna otra idea que no haya enumerado ya?
gracias de antemano
Respuesta1
No es posible que una computadora se una a un dominio AD sin tener acceso a la zona DNS interna de ese dominio; incluso si se pudiera lograr la unión al dominio, nada relacionado con AD funcionaría (incluidos inicios de sesión, GPO, etc.) cuando la computadora no puede consultar correctamente los registros DNS de AD.
En AWS utilizamos el servicio DNS de AWS con una zona delegada para resolver la comunicación de servidor a servidor dentro de AWS y luego se comunica con nuestro servidor DNS público corporativo para cualquier cosa que no pueda resolver.
La solución adecuada es hacer que los servidores de AWS utilicen su servidor DNS interno, que también debe contener registros para los nombres de los servidores de AWS (creados automáticamente si están unidos a un dominio, manualmente si no lo están), para que puedan resolver el nombre de cada uno; Por supuesto, su servidor DNS interno también debería poder resolver nombres de Internet, por lo que también podría hacerlo para los servidores de AWS.
ElrealLa solución sería crear un controlador de dominio en una máquina AWS y definir un sitio de Active Directory para la red AWS, luego hacer que todos los servidores AWS usen ese DC como su servidor DNS; Con esta configuración, las consultas de DNS y los inicios de sesión de dominio no tendrían que atravesar la VPN cada vez y seguirían funcionando incluso si la conexión VPN se interrumpe.